# Clústeres de Amazon ECS para instancias externas
<a name="ecs-anywhere"></a>

Amazon ECS Anywhere admite el registro de una *instancia externa*, por ejemplo, un servidor ubicado en las instalaciones o una máquina virtual (VM), en el clúster de Amazon ECS. Las instancias externas se han optimizado para que puedan ejecutar aplicaciones que generen tráfico o datos del proceso salientes. Si la aplicación requiere tráfico entrante, la falta de compatibilidad con Elastic Load Balancing hace que la ejecución de estas cargas de trabajo sea menos eficiente. Amazon ECS ha agregado un nuevo tipo de lanzamiento `EXTERNAL` que se puede utilizar para crear servicios o ejecutar tareas en las instancias externas.

## Sistemas operativos y arquitecturas de sistemas compatibles
<a name="ecs-anywhere-supported-os"></a>

La siguiente lista contiene los sistemas operativos compatibles: Se admiten las arquitecturas de CPU `x86_64` y `ARM64`.
+ Amazon Linux 2023
+ Ubuntu 20, Ubuntu 22, Ubuntu 24
+ RHEL 9: Debe asegurarse de que Docker esté instalado antes de ejecutar el [script de instalación ECS Anywhere](https://github.com/aws/amazon-ecs-agent/blob/master/scripts/ecs-anywhere-install.sh). Para obtener más información, consulte [Instalar motor de Docker en RHEL](https://docs.docker.com/engine/install/rhel/) en la documentación de Docker.

A partir del 7 de agosto de 2026, Amazon ECS Anywhere ya no admitirá los siguientes sistemas operativos:
+ Amazon Linux 2
+ CentOS Stream 9
+ RHEL 7, RHEL 8
+ Fedora 32, Fedora 33, Fedora 40
+ openSUSE Tumbleweed
+ Ubuntu 18
+ Debian 9, Debian 10, Debian 11, Debian 12
+ SUSE Enterprise Server 15
+ Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 20H2

## Consideraciones
<a name="ecs-anywhere-considerations"></a>

Antes de comenzar a utilizar instancias externas, tenga en cuenta lo siguiente.
+ Puede registrar una instancia externa en un clúster a la vez. Para obtener instrucciones sobre cómo registrar una instancia externa con un clúster diferente, consulte [Anulación del registro de una instancia externa de Amazon ECS](ecs-anywhere-deregistration.md).
+ Sus instancias externas requieren un rol de IAM que les permita comunicarse con las API de AWS. Para obtener más información, consulte [Rol de IAM de Amazon ECS Anywhere](iam-role-ecsanywhere.md).
+ Las instancias externas no deben tener una cadena de credenciales de instancia preconfigurada definida localmente, ya que interferiría con el script de registro.
+ Para enviar registros de contenedor a CloudWatch Logs, asegúrese de crear y especificar un rol de IAM de ejecución de tareas en la definición de tareas. 
+ Cuando una instancia externa se registra en un clúster, el atributo `ecs.capability.external` se asocia a la instancia. Este atributo identifica la instancia como una instancia externa. Puede agregar atributos personalizados a las instancias externas para utilizarlos como delimitación de ubicación de tareas. Para obtener más información, consulte [Custom attributes (Atributos personalizados)](task-placement-constraints.md#ecs-custom-attributes).
+ Puede agregar etiquetas de recursos a la instancia externa. Para obtener más información, consulte [Adición de etiquetas a instancias de contenedor externas de Amazon ECS](instance-details-tags-external.md).
+ ECS Exec se admite en instancias externas. Para obtener más información, consulte [Supervisión de los contenedores de Amazon ECS con ECS Exec](ecs-exec.md).
+ A continuación, se incluyen consideraciones adicionales específicas de las redes con las instancias externas. Para obtener más información, consulte [Red](#ecs-anywhere-networking).
  + No se admite el equilibrio de carga del servicio.
  + No se admite la detección de servicios.
  + Las tareas que se ejecutan en instancias externas deben utilizar los modos de red `bridge`, `host`, o `none`. No se admite el modo de red `awsvpc`.
  + Existen dominios de servicio de Amazon ECS en cada región de AWS. Se debe permitir que estos dominios de servicio envíen tráfico a las instancias externas.
  + El SSM Agent que se instaló en la instancia externa mantiene las credenciales de IAM que se rotan cada 30 minutos mediante una huella digital de hardware. Si la instancia externa pierde la conexión con AWS, SSM Agent actualiza automáticamente las credenciales después de que se restablece la conexión. Para obtener más información, consulte [Validación de servidores ubicados en las instalaciones y máquinas virtuales mediante una huella digital de hardware](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-technical-details.html#fingerprint-validation) en la *Guía del usuario de AWS Systems Manager*.
  + Puede poner en marcha tareas de Linux en instancias externas en una configuración de solo IPv6 siempre que las instancias estén en subredes de solo IPv6. Para obtener más información, consulte [Uso de VPC en modo de solo IPv6](task-networking.md#networking-ipv6-only).
+ No se admite la API `UpdateContainerAgent`. Para obtener instrucciones sobre cómo actualizar SSM Agent o el agente de Amazon ECS en las instancias externas, consulte [Actualización del agente de AWS Systems Manager y del agente de contenedor de Amazon ECS en una instancia externa](ecs-anywhere-updates.md).
+ No se admiten los proveedores de capacidad de Amazon ECS. Para crear un servicio o ejecutar una tarea independiente en las instancias externas, utilice el tipo de lanzamiento `EXTERNAL`.
+ No se admite SELinux.
+ No se admite la utilización de volúmenes de Amazon EFS ni la especificación de un `EFSVolumeConfiguration`.
+ No se admite la integración con App Mesh.
+ Si utiliza la consola para crear una definición de tareas de instancia externa, debe crear la definición de tareas con el editor JSON de la consola.
+ Cuando utilice una AMI no optimizada para Amazon ECS, ejecute los siguientes comandos en la instancia de contenedor externa para configurar reglas que utilicen los roles de IAM en las tareas. Para obtener más información, consulte [Configuración adicional de las instancias externas](task-iam-roles.md#enable_task_iam_roles).

  ```
  $ sysctl -w net.ipv4.conf.all.route_localnet=1
  $ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679
  $ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679
  ```

### Red
<a name="ecs-anywhere-networking"></a>

Las instancias externas de Amazon ECS se han optimizado para que puedan ejecutar aplicaciones que generen tráfico o datos del proceso salientes. Si la aplicación requiere tráfico entrante, como un servicio web, la falta de compatibilidad con Elastic Load Balancing hace que la ejecución de estas cargas de trabajo sea menos eficiente porque no se admite la ubicación de estas cargas de trabajo detrás de un balanceador de carga.

A continuación, se incluyen consideraciones adicionales específicas de las redes con las instancias externas. 
+ No se admite el equilibrio de carga del servicio.
+ No se admite la detección de servicios.
+ Las tareas de Linux que se ejecutan en instancias externas deben utilizar los modos de red `bridge`, `host`, o `none`. No se admite el modo de red `awsvpc`. 

  Para obtener más información sobre cada modo de red, consulte [Opciones de red de tareas de Amazon ECS para instancias de EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html).
+ Puede poner en marcha tareas de Linux en instancias externas en una configuración de solo IPv6 siempre que las instancias estén en subredes de solo IPv6. Para obtener más información, consulte [Uso de VPC en modo de solo IPv6](task-networking.md#networking-ipv6-only).
+ Existen dominios de servicio de Amazon ECS en cada región y se les debe permitir enviar tráfico a las instancias externas.
+ El SSM Agent que se instaló en la instancia externa mantiene las credenciales de IAM que se rotan cada 30 minutos mediante una huella digital de hardware. Si la instancia externa pierde la conexión con AWS, SSM Agent actualiza automáticamente las credenciales después de que se restablece la conexión. Para obtener más información, consulte [Validación de servidores ubicados en las instalaciones y máquinas virtuales mediante una huella digital de hardware](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-technical-details.html#fingerprint-validation) en la *Guía del usuario de AWS Systems Manager*.

Los siguientes dominios se utilizan para la comunicación entre el servicio de Amazon ECS y el agente de Amazon ECS instalado en la instancia externa. Asegúrese de que se permita el tráfico y de que la resolución DNS funcione. En cada punto de enlace, la *región* representa el identificador de región de una región de AWS compatible con Amazon ECS, como `us-east-2` para la región EE. UU. Este (Ohio). Deben permitirse los puntos de enlace de todas las regiones que utilice. Para los puntos de enlace `ecs-a` y `ecs-t`, debe incluir un asterisco (por ejemplo, `ecs-a-*`).
+ `ecs-a-*.region.amazonaws.com`: este punto de enlace se utiliza cuando se administran tareas.
+ `ecs-t-*.region.amazonaws.com`: este punto de enlace se utiliza para administrar las métricas de tareas y de contenedor.
+ `ecs.region.amazonaws.com`: es el punto de enlace de servicio para Amazon ECS.
+ `ssm.region.amazonaws.com ` — se trata del punto de conexión para AWS Systems Manager.
+ `ec2messages.region.amazonaws.com`: este es el punto de conexión AWS Systems Manager utiliza para comunicarse entre el agente de Systems Manager y el servicio de Systems Manager en la nube.
+ `ssmmessages.region.amazonaws.com`: este punto de conexión necesario para crear y eliminar los canales de sesión con el servicio Session Manager en la nube.
+ Si las tareas requieren comunicación con cualquier otro servicio de AWS, asegúrese de que esos puntos de enlace de servicio se permitan. Las aplicaciones de ejemplo incluyen la utilización de Amazon ECR para extraer imágenes de contenedor o de CloudWatch para CloudWatch Logs. Para obtener más información, consulte [Puntos de enlace de servicio](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) en la *Referencia general de AWS*.

### Amazon FSx for Windows File Server con ECS Anywhere
<a name="ecs-anywhere-fsx"></a>

**importante**  
Windows ha dejado de ser compatible con Amazon ECS Anywhere. Esta sección ya no es aplicable.

Para utilizar Amazon FSx for Windows File Server con las instancias externas de Amazon ECS debe establecer una conexión entre el centro de datos en las instalaciones y la Nube de AWS. Para obtener más información acerca de las opciones para conectar su red a VPC, consulte [Opciones de conectividad de Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html).

### gMSA con ECS Anywhere
<a name="ecs-anywhere-gmsa"></a>

**importante**  
Windows ha dejado de ser compatible con Amazon ECS Anywhere. Esta sección ya no es aplicable.

Los siguientes casos de uso eran compatibles con ECS Anywhere cuando Windows era un sistema operativo compatible.
+ El Active Directory se encuentra en la Nube de AWS: para esta configuración, cree una conexión de entre la red en las instalaciones y la Nube de AWS mediante una conexión de AWS Direct Connect. Para obtener información acerca de cómo crear la conexión, consulte[Opciones de conectividad de Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html). Cree un Active Directory en la Nube de AWS. Para obtener información acerca de cómo empezar a usar AWS Directory Service, consulte [Configuración de AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setting_up.html) en la *Guía de administración de AWS Directory Service*. A continuación, puede unir las instancias externas al dominio mediante la conexión de AWS Direct Connect. Para obtener información acerca de cómo trabajar con gMSA con Amazon ECS, consulte [Obtenga información sobre cómo utilizar gMSA para contenedores de EC2 para Windows en Amazon ECS.](windows-gmsa.md).
+ El Active Directory se encuentra en el centro de datos en las instalaciones. - Para esta configuración, debe unir las instancias externas a Active Directory en las instalaciones. A continuación, se utilizan las credenciales disponibles localmente cuando ejecuta las tareas de Amazon ECS.